워드프레스에서 6년 된 치명적인 취약점 발견 돼

Critical Flaw Uncovered In WordPress That Remained Unpatched for 6 Years

워드프레스를 최신 버전인 5.0.3으로 패치 하지 않은 상태라면, 지금 당장 패치하는 것이 좋습니다.

RIPS Technologies Gmbh의 사이버 보안 연구원들이 워드프레스의 모든 이전 버전에 영향을 미치는 치명적인 원격 코드 실행 취약점을 발견했다고 밝혔습니다. 이 취약점은 지난 6년 동안 패치 되지 않았습니다.

작년 말 발견 되어 워드프레스의 보안 팀에 제보 된 이 원격 코드 실행 공격은, 최소 “author” 계정을 가진 권한이 낮은 공격자가 워드프레스 코어에 존재하는 취약점 2개 (경로 조작(Path Traversal), 로컬 파일 포함(LFI: Local File Inclusion))를 조합하여 악용할 수 있습니다.

공격을 위해서는 적어도 author 수준의 계정이 필요하므로, 악의적인 컨텐츠 작성자 또는 피싱/패스워드 재사용 공격 등을 통해 author 계정의 크리덴셜을 얻은 자 만이 이 공격을 실행할 수 있으므로, 공격의 심각성을 어느정도 감소시켰습니다.

“타겟 워드프레스 사이트에서 최소 author 권한을 가진 공격자는 서버에서 임의 PHP 코드를 실행 할 수 있어, 원격으로 사이트 전체를 제어할 수 있게 됩니다.”

RIPS Technologies의 연구원인 Simon Scannell에 따르면, 이 공격은 워드 프레스의 이미지 관리 시스템이 업로드 된 이미지의 설명, 크기, 작성자 및 기타 정보를 저장하는데 사용 되는 Post Meta 엔트리를 처리하는 과정을 악용합니다.

Scannell은 악의적인, 또는 해킹 된 author 계정이 이미지와 관련 된 모든 엔트리를 수정하여 임의 값으로 설정해 경로 조작 공격으로 이어질 수 있음을 발견했습니다.

“evil.jpg?shell.php에 _wp_attached_file를 설정하여 아래 URL에 대한 HTTP 요청으로 이어집니다: 

https://targetserver.com/wp-content/uploads/evil.jpg?shell.php”

“또한 evil.jpg?/../../evil.jpg와 같은 페이로드를 통해 결과 이미지를 임의 디렉토리에 심는 것도 가능합니다.”

Theme 디렉토리에서 경로 조작(Path Traversal) 취약점이 로컬 파일 포함(LFI) 결함과 조합 되어 사용 될 경우, 공격자는 타겟 서버에서 임의 코드를 실행할 수 있게 됩니다.

연구원이 공개한 PoC 영상에 따르면, 이 공격을 통해 취약한 워드프레스 블로그의 완전한 제어 권한을 얻는데는 채 몇 초도 걸리지 않았습니다.

이 코드 실행 공격은 워드프레스 버전 5.0.1 및 4.9.9에서는 실행 될 수 없습니다. 또 다른 취약점을 막기 위해 승인 되지 않은 사용자가 임의 Post Meta 엔트리를 설정하는 것을 막는 패치가 진행 되었기 때문입니다.

하지만 경로 조작 결함은 최근 버전에서도 패치 되지 않은 상태이며, 설치 된 써드파티 플러그인이 Post Meta 엔트리를 잘못 처리할 경우 여전히 악용이 가능한 상태입니다.

Scannell은 워드프레스의 다음 버전에서는 이 문제가 완전히 수정될 것임을 확인했다고 밝혔습니다.

출처 :

https://thehackernews.com/2019/02/wordpress-remote-code-execution.html